Configure a criptografia completa do disco e tenha os arquivos de armazenamento do sistema de gerenciamento de documentos dentro do sistema de arquivos que vive dentro do contêiner criptografado.
Não, sério. É uma solução simples que parece atender perfeitamente às suas necessidades:
- Os arquivos são criptografados enquanto estão em repouso (armazenados em disco de forma criptografada)
- Os arquivos são automaticamente criptografados e descriptografados conforme necessário
- O sistema de gerenciamento de documentos não precisa saber nada sobre a criptografia
Você pode querer uma maneira de abrir o contêiner criptografado (que é uma operação de uma vez por inicialização na maioria das vezes) sem que alguém realmente insira uma frase secreta. Se você não está disposto a desembolsar o dinheiro para um módulo de segurança de hardware adequado, existem soluções de software que, enquanto eles não vai te levar até lá, pode certamente tornar mais difícil para um adversário obter acesso à frase secreta. (Estou ciente de pelo menos um software para isso, mas parece que não consigo lembrar o que foi chamado e nem encontrá-lo. Se puder pensar nisso mais tarde, posso adicionar um link.)
No Linux, isso significa configurar um contêiner LUKS ou dm-crypt que, por sua vez, contém um sistema de arquivos. Monte esse sistema de arquivos em algum lugar e informe ao sistema de gerenciamento de documentos para colocar todos os documentos dentro desse diretório de ponto de montagem.